Mysql 字符串与0比较为Ture 延伸到SQL注入的有趣问题

最新推荐文章于 2024-05-03 22:07:11 发布
原创 最新推荐文章于 2024-05-03 22:07:11 发布 · 798 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Mysql中字符串与数字比较时的特殊行为,包括字符串自动转换为数字、判断列名存在性及利用这些特性进行SQL注入攻击的方法。揭示了如何通过巧妙运用这些规则,实现字符串列数据的提取、万能密码的构造等技巧。

目录

初探

真相渐现

延伸到SQL注入

字符串列数据提取

判断列名是否存在

新型万能密码

 

初探

有一天突然发现Mysql中一个有趣的现象:

百思不得其解,想着是不是由于mysql的字符串转化数字的原因,于是试验了一下:

自动将字符串类型的"123"转为数字型的123,然后与1相加。

下面试验了数字与字符串掺杂的情况:

直接将首位的1给转化了,其余的字符串则忽略掉。

但若不是以字符串为开头则会失败,字符串"te1st2"、"test"转化数字失败则会返回0,与1相加刚好为1:

 

 

真相渐现

通过上述试验得出结论:

当字符串与数字比较、相加时,字符串会自动转化为数字。

若字符串以数字开头,则会转化为该开头的数字;否则会转化失败,返回0

于是由下表简单地呈现:

原始语句过程释义结果备注
select "test" = 1;select 0 = 1;0 (False)"test"转化失败,返回0
select "test" = 0;select 0 = 0;1 (True)"test"转化失败返回0,与0比较相等

值得一提的是,

  • 当等号两边都为字符串的时候,字符串不会转化为数字:

但是可以通过+0来强制转化类型:

  • 当在字符串与数字使用like进行比较时,若字符串不是纯数字,则不会进行转化

纯数字就可以:

但可以使用%通配符:

 

延伸到SQL注入

通过上述的 select "test" = 0; 为True的原理,可以引申到SQL注入中。

字符串列数据提取

前提条件是字段值要类似于"test"的字符串类型才可以:

当waf拦截等号(=)时,也可以用 like 关键字进行绕过:

like的优先级大于=,上述语句等价于:

select * from users where username = (1 like "2");

判断列名是否存在

简单的,我们知道 "" like "123" 为0:

同样可以以永真的条件列出所有数据:

当"123"用某个列的值来替代的时候,就可以判断某个列是否存在:

若列名存在,还可以通过赋值来排查某一行数据:

新型万能密码

由于登录处的username为字符串类型,且 "xxx" like 1 为 0,所以构造之后就相当于: "xxx" = 0  ==> Ture

原始语句过程释义结果备注
select * from users where username = "xxx" like 1;

1. select * from users where username = 0;

2. select * from users where True;

1 (True)

1. "xxx" like 1 返回 0

2. "xxx"转化失败返回0,与上一步的0比较相等返回1(Ture)

不需要知道真实用户名,直接以True永真条件登录:

xxx' like 1 #

当拦截关键字like时,可以直接用跳过like来注入:

'+0 #

原始语句过程释义结果备注
select * from users where username = "xxx" + 0;

1. select * from users where username = 0;

2. select * from users where True;

1 (True)

1. "xxx"+0, "xxx"转化失败返回0

2. 与上一步的0比较相等返回1

参考: http://www.6tie.net/p/1167757.html

还原攻击链:从探测到暴库,SQL注入全流程解析
2501_92263117的博客
07-04 1098
电话,身份证号码等),判断是否符合格式,如果不符合格式,拒绝该请求;如果是字符串类型,没有特殊的格式,需要对字符串长度做校验,如果长度大于数据库该字段的定义长度,拒绝该请求;一般情况下,盲注需要结合二分法使用,由于每次获取到的信息相当有限(仅为一个字符),因此需要大量的盲注才能实现获取到敏感数据。,尝试按照表的第三列对数据进行排序,如果后台表中存在第三列,则排序可能成功,如果没有第三列,则排序失败。接下来继续观察攻击者的动作,攻击者在获知表的列数后,希望获知注入数据的回显位置,因此执行了命令,如图。
ctfhub-web-sql-整型注入/字符型注入/报错注入/布尔盲注/时间盲注/mysql结构/cookie注入/ua注入
2301_80162151的博客
03-01 1027
id=1’ and sleep(5) --+,看网络有没有延迟,有的话就是存在时间盲注。(完全没变化的页面,这种情况我们可以利用时间函数来判断数据有没有在目标数据中得到执行。技能树的这些sql,肯定是存在,所以直接sqlmap获取库名。sqlmap -u url -D 库名 --tables。时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站。聚合函数也称作计数函数,返回查询对象的总数。判断页面是否正常,1=1和1=2是俩个页面。慢慢等一会,他有点慢,出现了库名sqli。函数 获取字符串的长度。
mysql字符串=0
欧气满满大顺顺的博客
03-31 3029
背景 mysql 数据库 tb_task 表 中title是varchar SELECT t.* from tb_task t where t.title=0; 会查到所有数据 解决办法 需要用如下写法 SELECT t.* from tb_task t where t.title=‘0’;一条查不到 原因 "Strings are automatically converted to numbers and numbers to strings as necessary."这意味着为了将字符串
mysql:将“字符串 0 进行比较会给出正确的结果
weixin_43854800的博客
06-15 412
mysql:将“字符串" 0 进行比较会给出正确的结果
mysql 字符串<>0,mysql:为什么比较一个'字符串'到0给出true
weixin_36116008的博客
01-20 469
I was doing some MySQL test queries, and realized that comparing a string column with 0 (as a number) gives TRUE!select 'string' = 0 as res; -- res = 1 (true), UNexpected! why!??!?!however, comparing ...
mysql查询条件字符串类型 = 0
qq_42132556的博客
04-15 1767
假如有表A: id int name varchar A表中有以下数据: id name 1 张三 2 李四 3 2王五 执行以下sql: select * from A where name = 0; 会将id=1,id=2的结果返回。 select * from A where name = 2; 会将id=3的结果返回。 为什么? 因为Mysql “Strings are automatically converted to numbers and nu
有趣mysql string和0比较返回1的问题
weixin_33674976的博客
01-05 235
title: 有趣mysql string和0比较返回1的问题 tags: mysql type String 0 categories: mysql date: 2017-06-25 18:18:56 6月19日出现了诡异的情况 开发环境所有的移动端用户无法登陆。 移动端通过rmi来访问,为了移动端可以访问权限内的数据,因此增加了相关的权限控制 RMI鉴权 那么对于登陆来说我们不会进...
SQL注入从入门到精通
m0_56634355的博客
06-03 1385
sql注入为每一位黑客入门必备的基础技能,也是SWASP TOP10中高危漏洞之一。
SQL注入漏洞,常用注入函数及其pakachu漏洞靶场演示
ytdd66的博客
03-04 1636
SQL:是操作数据库数据的结构化的查询语言,实现对网页应用数据和后台数据库的交互。SQL注入是将表单域或数据包输入的参数,拼接成的SQL语句,传递给Web服务器,进而传给数据库服务器并得到执行,达到获取数据库信息的目的。如果Web应用程序的开发人员对用户输入的数据或Cookie等内容未过滤或者验证就直接传给数据库,就可能导致恶意的SQL语句被执行,进而获取数据库的信息,造成SQL注入攻击。
2024年网络安全最新【Web安全】SQL各类注入绕过
2401_84281648的博客
05-03 777
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Java|String(2)字符串比较
黄佳俊的博客
07-09 1037
一、概述 字符串比较是将两个字符串从左到右逐个字符逐个字符进行比较比较的依据是当前字符的Uncode编码值,直到比较出两个不同字符的大小。 字符串比较也分为两大类: 一类是字符串大小的比较,这样的比较有三种结果,大于、等于以及小于; 一类比较方法是比较两个字符串是否相等,产生的比较结果就两种,ture和false。 二、细述 1、首先看一下第一种比较大小这类需求中的方法: (1)不忽略字符串大小写情况下字符串的大小比较方法compareTo(another str) 格式:in...
mysql中写=0和=‘0‘的拉胯行为
水镜先生的博客
12-15 746
拉胯了
mysql 中的true和false
热门推荐
hacker_Lees的博客
05-23 1万+
MySQL保存boolean值时用1代表TRUE0代表FALSE。 boolean在MySQL里的类型为tinyint(1)。 MySQL里有四个常量:true,false,TRUE,FALSE分别代表1,0,1,0
MySQL - 关于 False、True0、1、tinyint(1) 的说明
loveLifeLoveCoding的博客
09-18 5288
插入 Boolean 值时,可以 values(true),也可以 values(1);定义 Pojo 时,将 tinyint(1) 的字段定义为 Boolean 类型。MySQL 存储 Boolean 值的类型为 tinyint(1) 类型;MySQL 中有 true、false、TRUE、FALSE 四个常量,代表1、0、1、0MySQL 保存 Boolean 值时,用 1 代表 TRUE0 代表 FALSE;类似一个 bit 位,默认没有数据,即为 0,也即 Faslse。
php++字符‘0比较,PHP_PHP容易被忽略而出错陷阱 数字字符串比较0 任意非数字(或者说,不可转 - phpStudy...
weixin_42384743的博客
03-29 184
0 任意非数字(或者说,不可转化为数字的字符)前导的字符串比较(操作符为==), 均返回 true.原因是, 数字字符串比较时, 先尝试将字符串转换为数字, 再比较, 一个不能转换为数字字符串, 转换结果为0, 故, 0比较总返回 true.更加详细的比较规则, 多种类型的比较规则, 在 PHP手册/语言参考/运算符/比较运算符 可以找到.在PHP里当两个数字字符串(只含数字字符串)进...
MySQL 转换1,0true,false
纠缠AI的亮子
10-30 9453
Mysql的基本数据类型中并没有布尔型,之所以建表和数据操作中能够使用BOOLEAN是因为mysql将其作为了tinyint(1)的别名。用0表示false,1表示true。 但开发过程中,既然我们给某一字段定义为布尔型,那么在我们获取数据后,期望得到的必然是布尔值而不是0或1。因此我们可以在得到返回值后转换一下。 这里我使用的是mysql模块,该模块允许给typeCase属性设置一个回调函数。详见官网说明 https://github.com/mysqljs/mysql#string connection
MySQL的tinyint字段,读取出来为true或者false问题
在路上
07-25 1万+
MySQL中设置tinyint的字段类型,在后天获取字段信息却获得true或者false。通过网上查找发现,MySQL中不支持Boolean类型,通过tinyhint来表示Boolean类型。当tinyint为0时代表false,其它数值为true。可以在查询字段后面添加*1来获取真实结果。如下: select id, age*1 from table;...
mysql varchar字段和数字0比较问题
onepiecehan的博客
09-29 3701
最近突然出现部分订单状态被清0,找了好久,最后发现是数据库一个远古定时任务造成的。 我们订单表里有个字段A【varchar】,最开始的业务里有用到。后面业务调整,该字段值被弃用,值都是NULL。最近该字段又重新拿来使用,会有值插入。然后远古定时任务里有个查询条件是【A=0】varchar类型和数字0直接比较,该条件会过滤NULL值数据,但是如果有其他值,就会一并查出来,导致数据混乱。下面是问了下...
如何见字符串{spilt: ture, detect: ture}转成字典
最新发布
09-12
在Python中,将字符串转换成字典可以使用内置的`eval()`函数或者`json.loads()`函数。`eval()`函数可以计算字符串表达式,并返回一个对象。但由于`eval()`存在安全风险,因为它可以执行任意代码,所以当输入的字符串来源不可控时,应当避免使用。另一种更为安全的方法是使用`json.loads()`函数,前提是字符串符合JSON格式。 在你的例子中,字符串`"{spilt: ture, detect: ture}"`看起来像是JSON格式,但是使用了Python的字典语法,实际上并不是有效的JSON格式。JSON格式要求键和字符串值都必须使用双引号`"`。如果将字符串中的键和字符串值都用双引号包围,然后再用`json.loads()`函数解析,就可以将其转换为Python字典。下面是转换过程的示例代码: ```python import json # 原始字符串,不符合JSON格式,需要转换 original_string = "{spilt: ture, detect: ture}" # 将字符串转换为有效的JSON格式字符串 valid_json_string = original_string.replace("'", '"').replace("ture", "true") # 使用json.loads()将JSON格式字符串转换为字典 dictionary = json.loads(valid_json_string) print(dictionary) # 输出: {'spilt': True, 'detect': True} ``` 请确保字符串是可信的,避免执行恶意代码。如果你需要处理不可控的数据,最好使用更加安全的方法,并进行适当的验证和清洗。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值